El protocolo de comercio entre cadenas LI.FI fue víctima de un ataque de inyección de llamadas, según informó la plataforma de seguridad Beosin Alert el martes. Se robaron del protocolo aproximadamente 10 millones de dólares en criptoactivos, incluyendo 6,3 millones de USDT, 3,2 millones de USDC y 169.000 DAI.
El cofundador de LI.FI, Philipp Zentner, confirmó eldent en X (anteriormente Twitter), señalando que solo los usuarios que habían configurado manualmente "aprobaciones infinitas" se vieron afectados. "Por favor, no interactúen con ninguna aplicación de LI.FI por ahora. Estamos investigando una posible vulnerabilidad de seguridad", escribió Zentner.
LI.FI supuestamente fue hackeado a través del mismo viejo error
La vulnerabilidad se traca la función "depositToGasZipERC20()" deltracLI.FI. Según el análisis de Beosin, la función puede intercambiar tokens específicos por tokens de plataforma y depositarlos en eltracGasZip, pero no restringe los datos para la invocación, lo que permite al atacante retirar activos de los usuarios que cuentan con la aprobación deltrac.
Por otra parte, otra plataforma de seguridad, Peckshield, informó que LI.FI también fue explotado hace dos años debido a la misma vulnerabilidad. "Al analizar el ataque al protocolo LI.FI de hoy, detectamos un ataque anterior al mismo protocolo el 20 de marzo de 2022", publicó Peckshield en X. "El error es básicamente el mismo"
Al analizar el ataque informático ocurrido hoy contra @lifiprotocol , observamos un ataque anterior contra el mismo protocolo el 20 de marzo de 2022.
El error es básicamente el mismo. https://t.co/YcuEe4efOT
¿Estamos aprendiendo algo de las lecciones pasadas? https://t.co/nV4IuX7T7j pic.twitter.com/aVB6FQ3MnT
— PeckShield Inc. (@peckshield) 16 de julio de 2024
Durante el hackeo del protocolo LI.FI en 2022, se robaron y se extrajeron aproximadamente $600,000 en activos del protocolo, afectando a 29 billeteras. El equipo declaró en un informe posterior que el error se solucionó y que todos los usuarios afectados recibieron un reembolso.
Lea también: En 2024 se registraron casi 1.400 millones de dólares en robos de criptomonedas hasta el momento
Hasta el momento, no se ha hablado de reembolsar a los usuarios afectados por el último ataque, al menos al momento de escribir este artículo. Sin embargo, LI.FI anunció que está investigando el exploit y recomendó a los usuarios no interactuar con ninguna aplicación de LI.FI mientras tanto.
Eldent de hoy se produce poco más de un año después de que LI.FI recaudara 17,5 millones de dólares en una ronda de financiación de Serie A para permitir a los usuarios DeFi operar en diferentes cadenas de bloques, plataformas y puentes. Afirma haber facilitado un volumen total de transferencias de más de 10 000 millones de dólares.
